合规管理 | 实现“外规内化”落地的“四个步骤”

合规，要求企业以及企业内部主体的行为符合一定的规则或准则，包括强制性规则以及主体自愿遵守的规则。企业合规应当以制度建设为首，连通法律、法规、政策与企业内部，有效贯彻外部监管要求，规范企业以及企业内部主体经营管理和业务活动。

外规内化是企业与外部规范匹配的重要步骤，是企业主动合规化的重要表现形式。开展现有内部制度梳理工作，做好外规内化和合规审核工作，建立制度生命周期管理体系，是企业长足发展的重要保障和基石。

合规是生命，合规是底线。合规要求各企业（组织）的主体行为、经营活动与法律、规则和准则相一致。企业合规建设应当以制度建设为首，规章制度是连通法律、法规、政策与企业内部的桥梁，能够有效贯彻外部监管要求，规范企业以及企业内部主体行为。

在实践中，企业一般面临数千个内部流程需要动态管理。就外部监管环境变化而言，将数以万计的合规监管风险点嵌入到企业经营管理的各领域各环节，贯穿决策、执行、监督全过程，落实到各部门、各单位和全体员工，实现多方联动、上下贯通。

一、外规内化的责任主体

建立健全内控体系，进一步提升管控效能。2019年10月19日，国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》提到，企业（组织）要完善管理制度。各企业要全面梳理内控、风险和合规管理相关制度，及时将法律法规等外部监管要求转化为企业内部规章制度，持续完善企业内部管理制度体系。

在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。将违规经营投资责任追究内容纳入企业内部管理制度中，强化制度执行刚性约束。

在外规内化的过程中，企业主要负责人作为企业内部规章制度体系健全完善的支撑者、外规内化流程实施的组织者，应统领全局全面负责，做到亲自抓、负总责。

企业合规部负责人应当承担相应的外规内化职责，关注新规并及时反馈、督促、审核其他部门规范的收集、梳理和解读，参与外规内化执行过程的指导工作。

各部门负责人应当对与本部门工作有关的新规范实时关注，配合企业主要负责人以及合规部负责人进行相应的外规内化工作。应守土有责、负责、尽责，做好具体实施工作。

二、外规内化的原则

1.精准性原则：在对外规进行识别时需要注意，不应当寻求“大而全”，即不应当将所有与企业有关的法律条文、司法解释、通知、意见等进行“一揽子”式的“整合”。这样制定的“内规”只是对“外规”的“堆砌”，在体系上亦无法完全避免疏漏与错误；

2.配套性原则：在识别外规的过程中应注意“关联性”，即收集与本企业相关的规范规则，做到外规与内规的相互配套、衔接；

3.针对性原则：一企一策，根据企业的经营范围及业务特点，结合企业经营实际筛选与企业经营管理活动可能相关外规，提炼出对企业经营管理活动的具体要求；

4.开放性原则：开放接受企业人员针对外规内化所提出的各类问题，并由合规管理部门会同外部律师进行专业解答，将其中有益于企业发展的内容进行提炼总结，从而对原有“内规”进行增补、修正。

三、外规内化的过程

企业外规内化可以分为四个步骤，分别为外规的识别与解读、外规的分类与归档、内部制度的确定、融入业务落地实施。

（一）外规识别与解读

外规的范畴包括法律、行政法规、法律解释、部门规章、上级机关等外部监管规定和有关党内法规的统称，包括适用于企业经营管理活动的法律、行政法规、部门规章、上级机关规定及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。

该步骤应当由法务、合规以及业务部门共同进行，缺一不可，三个部门结合可以发挥各自的优势，从多个角度全面分析外规，从而使其在企业中得到更好的贯彻，将外部合规要求转化为内部的合规措施。

这就要求上述部门及其人员持续关注法律、规则和准则（包括地方性法律、规则）的最新发展，评估对所属公司各业务条线影响，并反馈到所属公司相关业务部门。

识别外规的渠道主要包括企业办公网络平台、媒体、互联网、书籍、刊物及其他渠道，有条件的企业也可以聘请第三方机构提供外规收集服务。

外规的解读方面，应当注意外部规范的重难点，对与本部门业务有关的内容重点解读，厘清各个规范的主线，使后续的分类以及内规制定的过程更加顺利。

（二）外规的分类与归档

为了更好地使制度与企业现状相匹配，企业在制定相应的制度时，应当对现有的管理制度及流程进行梳理、分类。将拟制定的制度与现有的业务流程、管理制度进行类比，找到制度之间的交叉点。在制定新的合规制度时与现有流程相融合、或者将原有流程进行同步更新。

企业的各部门、各级下属公司应对本业务条线及所在辖区新颁布、修订、变更的法规信息进行判断，对适用于企业的新颁或更新的外规，应及时提交合规或相应部门。

（三）内部制度的确定

在制定内部制度时企业应考虑制度的功能、可操作性（操作成本）、与现有制度的匹配性等。

一些大型企业会分层级进行制度的制定，如在总体上确定统一的基础管理规定，在第二层级确定各个业务部门的管理规定，最后一个层级为专项工作规定，由此完整构成企业内规。

企业制定内规时应当运用通俗的语言，将上述外部监管文件转化为企业内部规章制度的条目，兼顾内部规范的专业性与易读性，从而让企业员工能够尽快理解规范内容，以达成内规的顺利实施。

（四）融入业务的落地实施

在外规内化过程中，根据不同部门的业务工作，使合规最终触达业务的最末端、最细微处，在业务流程和重要环节通过控制程序和岗位、部门职责充分体现合规义务的具体要求。

实践中，很多企业通过制定操作手册、业务指南、行为守则等方式，把外规要求落实到业务操作的行为规范中，让外部规定在业务开展的每一个环节中具体体现，最大限度在业务操作中履行合规义务，控制合规风险。

应当首先做好企业规章的辅导工作，即企业在新的规章制定后，应当通过宣讲会、学习会等方式让员工了解制度条文以及其后的制度背景，也可以将所内化的外规本身当作附件插入内规中，使适用该规章制度的部门能够得到充分理解。

还应当在企业内规中明确违反该规章的后果，固化规章，并且贯彻落实这些批评、处分等惩罚措施，使员工认识、认同该内部规范。

最后，外规内化并非一劳永逸，新的外部规范层出不迭，企业应当及时吸收更新的外部规范。在发现外部规范的变化后及时在实施端采取措施进行更改，使企业后续的经营行为以及内部的员工行为实时遵守外规。

四、专业领域外规内化剖析

实践中，基于行业领域的有针对性的具体要求，在某些专业行业、领域的外规内化工作表现的更为突出。

（一）商业银行领域

在经济形势日益复杂多变、国家监管日益严格的背景下，随着金融机构的数字化转型，科技与金融相互融合，商业银行需要加强合规建设，内控合规管理要求持续增高。

中国银保监会于2014年修订发布《商业银行内部控制指引》，要求商业银行应当采用科学的风险管理技术和方法，充分识别和评估经营中面临的风险。

《关于开展银行业保险业“内控合规管理建设年”活动的通知》（2021年版）中提出，各银行机构应加快弥补管理缺陷和漏洞，注重管常管长，完善内控合规长效机制，注重统筹施策，推进内控合规管理常抓不懈。中国银行业各类现行有效监管制度、办法更新速度持续加快，监管规则变化频繁。

商业银行外规内化需要首先明确主线法规，然后考虑关联法规；银行内部规章制度体系建设以主线法规为架构展开，其他关联法规用以确保各种管理活动有机协调、相互补充。

应当首先识别并研究上述规范，对主线法规、关联法规进行分类标记，《商业银行市场风险管理指引》（中国银行业监督管理委员会令2004年第10号）、《银行业金融机构全面风险管理指引》（银监发[2016]44号）分别为商业银行的两条主线法规。其他关联法规包括《关于进一步加强商业银行市场风险管理的通知》《商业银行资本管理办法（试行）》《商业银行银行账簿利率风险管理指引（修订）》等。

然后运用通俗的语言，将上述外部监管文件转化为企业内部规章制度的条目，最后商业银行相关管理人员、合规部等带头贯彻实施。

（二）招标投标领域

根据《中华人民共和国招投标法》的相关规定：“在中华人民共和国境内进行下列工程建设项目包括项目的勘察、设计、施工、监理以及与工程建设有关的重要设备、材料等的采购，必须进行招标”。

由于《招投标法》中对应当招投标的工程项目、招投标的方式等均进行了规定，建筑企业尤其是国有企业，在招投标过程中，除应招标未招标的风险外，还存在围标、串标，评审过程不规范等风险，可能导致建设工程施工合同无效，同时还有可能面临行政处罚，相关责任人甚至还有可能构成刑事犯罪。

由此，企业应当积极识别外部规范，包括《中华人民共和国招标投标法》《中华人民共和国招标投标法实施条例》等。在此基础上选择适合企业的规范与企业内部的规范相匹配，制定企业的《招投标管理规章守则》。

《招投标管理规章守则》根据相关法律法规制定，包括企业如何对招标工作进行决策、各个主体的职责、招投标的资质要求、招投标的工作过程以及招投标的执行。企业应当做到切实吸纳相应的法律法规、其他规章制度。

（三）建设工程领域

企业在建设施工过程中，由于建筑行业本身的特性，存在许多惯例以及挂靠、内部承包、农民工外包等乱象，这些不恰当的惯例以及乱象引起了大量的纠纷。

工程建设领域中，借用资质、挂靠的现象长期存在，国有企业往往作为被挂靠企业。在法律上来说，被挂靠企业就是承包主体，是该建设工程债权和债务的承担主体。

由此，企业应当积极识别与挂靠有关的规则规范。举例来讲，《中华人民共和国建筑法》（2019年版） 第六十六条的规定：“建筑施工企业转让、出借资质证书或者以其他方式允许他人以本企业的名义承揽工程的，责令改正，没收违法所得，并处罚款，可以责令停业整顿，降低资质等级；情节严重的，吊销资质证书。对因该项承揽工程不符合规定的质量标准造成的损失，建筑施工企业与使用本企业名义的单位或者个人承担连带赔偿责任。”

企业应当制定相匹配的内部规范，阻止本身的资质被不当外借，从而遭受行政处罚，包括相应的资格管理机制，制定承包人的授权管理和印章管理机制，限制、禁止企业内部人员私自以项目部的名义对外签订合同。

此外，建设工程施工合同是施工项目的核心，其确立了发包方与承包方的权利义务关系，明确工期、违约责任、工期、工程计价方式等内容。在实践中，发包方与承包方签订工程施工合同还需明确主体资质、行政审批等多种内容，否则会面临合同无效的风险。即使硬性的条件满足，合同也会因为内容不完善、约定不明产生纠纷，造成巨大的经济损失。

由此，企业应当制定与建筑施工合同相关的《建筑工程合同管理制度》，吸收并消化外部规范，包括《中华人民共和国民法典》《中华人民共和国建筑法》《最高人民法院关于审理建设工程施工合同纠纷案件适用法律问题的解释（一）》等法律法规。


结 语

外规内化是企业与外部规范匹配的重要步骤，是企业主动合规化的重要表现形式。开展现有内部制度梳理工作，做好外规内化和合规审核工作，建立制度生命周期管理体系，是企业长足发展的重要保障和基石。

在当前营商环境下，企业合规风险应对不再仅局限于法条法规层面的博弈，企业有效的实现“外规内化”，突破纸面上的合规，做到企业和员工之间的有效风险规避，将决定企业能否在新时代的风险挑战下走得更远。

来源：子象 作者：梁枫 何勇 陈康